LTE-V2X车联网安全体系架构及安全运营管理
感知层:感知交通信息、天气状况、路况等信息。 网络层:通过无线通讯技术、卫星定位导航系统来实现和互联网的连接,完成大量数据传输、分析和处理,实现相互通信和远程控制的目的。 应用层:数据反馈,并根据网络层的渠道开发各类软件应用,如地图导航服务。
图2. LTE-V2X车联网系统体系架构示意图
“端”- 车联网的“器官”,包括车载终端和道路基础设施等; “管”- 车联网的“神经”和“血脉”,即传输网络,用于实现车与车、车与人、车与路侧单元(RSU)以及车与云的互联互通; “云”- 车联网的“大脑”,即车联网云平台,为车联网提供云端算力和服务内容。
1)车载终端 - 安全风险
a、接口层面安全风险
车载终端一般存在多个物理访问接口,攻击者可能通过暴露的物理访问接口植入有问题的硬件或升级有恶意的程序,对车载终端进行入侵和控制。 车载终端通常有多个无线连接访问接口,攻击者可以通过无线接入方式对车载终端进行欺骗、入侵和控制;
非法接入:RSU通常通过有线接口与交通基础设施及业务云平台交互。黑客可以利用这些接口接入RSU设备,非法访问设备资源并对其进行操作和控制,从而造成覆盖区域内交通信息混乱。
运行环境风险:与车载终端类似,RSU中也会驻留和运行多种应用、提供多种服务,也会出现敏感操作和数据被篡改、被伪造和被非法调用的风险。
设备漏洞:路侧设备及其附件可能存在安全漏洞,导致路侧设备被安全控制、入侵或篡改。
远程升级风险:通过非法的远程固件升级可以修改系统的关键代码,破坏系统的完整性。
部署维护风险:路侧设备固定在部署位置后,可能由人为因素或交通事故、风、雨等自然原因导致调试端口或通信接口暴露或者部署位置变动,降低了路侧设备物理安全防御能力,使破坏和控制成为可能。
非法终端可以假冒合法终端的身份接入运营商的蜂窝网络,占用网络资源,获取网络服务。 假冒合法终端身份,发送伪造的网络信令或业务数据信息,影响系统的正常运行。 攻击者部署虚假的LTE网络基站并通过发射较强的无线信号吸引终端选择并接入,造成网络数据中断,直接危害车联网业务安全。 利用LTE-Uu接口的开放性以及网络传输链路上的漏洞,攻击者可以窃听车联网终端与网络间未经保护直接传输的网络信令/业务数据
利用PC5无线接口的开放性,攻击者可以通过合法的终端及用户身份接入系统并且对外恶意发布虚假信息
攻击者可以利用非法终端假冒合法车联网终端身份,接入直连通信系统,并发送伪造的业务信息;
攻击者可篡改或重放合法用户发送的业务信息。
攻击者可以监听获取广播发送的用户标识、位置等敏感信息,进而造成用户身份、位置等隐私信息泄露;
2.3 应用层
LTE-V2X业务应用包括基于云平台的业务应用以及基于PC5/V5接口的直连通信业务应用。
a、基于云平台的业务应用 - 以蜂窝通信为基础;面临的安全风险包括:假冒用户、假冒业务服务器、非授权访问、数据安全等。
攻击者可以假冒车联网合法用户身份接入业务服务器,获取业务服务;
非法业务提供商可以假冒车联网合法业务提供商身份部署虚假业务服务器,骗取终端用户登录,获得用户信息。
在未经访问控制的情况下,非法用户可以随意访问系统业务数据,调用系统业务功能,使系统面临着信息泄露及功能滥用的风险。
业务数据在传输、存储、处理等过程中面临着篡改、泄露等安全风险;
利用PC5/V5无线接口的开放性:
攻击者可以假冒合法用户身份发布虚假的、伪造的业务信息,篡改、重放真实业务信息,造成业务信息失真、严重影响车联网业务安全;
攻击者可以在V5接口上窃听传输的业务信息,获取用户身份、位置、业务参数等敏感数据,造成用户隐私泄露;
攻击者还可以通过大量发送垃圾信息的方式形成消息风暴,使终端处理资源耗尽,导致业务服务中断。
车联网安全运营及管理体系是一套完整的系统安全解决方案,基本结构如下图所示,它从采集、检测、发现、评估、调查和响应等环节对车联网安全事件进行生命周期的检测和管理。